DDoS से बचाव की सुविधा

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं.
जानकारी

डिस्ट्रिब्यूटेड डिनायल ऑफ़ सर्विस (डीडीओएस) के हमले पहले से ज़्यादा होते जा रहे हैं. हाल के हमलों में, ट्रैफ़िक के रिकॉर्ड सेट करने का लेवल देखा गया है और अनुमान है कि यह और भी खराब होता जाएगा. इन हमलों की वजह से सभी लोगों को अपने बचाव का दोबारा आकलन करना पड़ा है. मैलवेयर के हमले का शिकार हो चुके IoT डिवाइसों का इस्तेमाल करने से, डीडीओएस (DDoS) हमले अब पहले के मुकाबले कहीं ज़्यादा बढ़ गए हैं.

Apigee के लिए, DDoS की सुरक्षा का मकसद, हर ग्राहक के डेटा सेंटर में कस्टमर एपीआई को सुरक्षित रखना है. Apigee Edge Cloud को, बड़ी संख्या में ट्रैफ़िक स्वीकार करने के लिए बनाया गया है. यह एक ऐसा फ़िल्टर है जो ग्राहक के डेटा सेंटर और उनके एपीआई इंटरफ़ेस तक पहुंचने के लिए, असल अनुरोधों को जारी रखता है. साथ ही, यह नुकसान पहुंचाने वाले ट्रैफ़िक को कम करता है, बढ़ोतरी पर नज़र रखता है, दर को सीमित करता है, और हमले के दौरान ग्राहकों को ऑनलाइन बनाए रखता है.

Apigee, ट्रैफ़िक में बढ़ोतरी का पता लगा सकता है. हालांकि, हम यह पता नहीं लगा सकते कि यह बढ़ोतरी, हमला है, सफल कैंपेन है या असली उपयोगकर्ताओं के लिए रिलीज़ किया गया कोई नया ऐप्लिकेशन है. Apigee, सक्रिय तौर पर एपीआई कॉल की जांच नहीं करता, ताकि यह पता लगाया जा सके कि कौनसे कॉल मान्य हैं और कौनसे हमले हो सकते हैं. एपीआई कॉल को देखा जा सकता है, लेकिन ऐसा करना Apigee के सामान्य ऑपरेशन का हिस्सा नहीं है. हम ग्राहक के पेलोड की समीक्षा नहीं करते, क्योंकि इसकी वजह से ज़्यादातर ट्रैफ़िक, ग्राहकों, और असली उपयोगकर्ताओं की निजता को खतरा हो सकता है. Apigee को यह नहीं पता कि मंगलवार की दोपहर को किसी खास वजह से, ग्राहकों के ऐप्लिकेशन और सेवाओं पर हुए किसी हमले या अचानक उनके ऐप्लिकेशन और सेवाओं को इस्तेमाल करने की वजह से बढ़ोतरी हुई है. Apigee को बढ़ोतरी की जानकारी दिख सकती है. हालांकि, इसके बारे में ग्राहकों को साफ़ तौर पर कोई जानकारी और जानकारी नहीं दी गई है, लेकिन यह Apigee के लिए उपलब्ध नहीं है. इसलिए, हमें यह पता नहीं चल पाएगा कि इस कार्रवाई का जवाब कैसे देना है. सबसे बुरा यह तब हो सकता है, जब Apigee ने किसी हमले को सिर्फ़ यह पता लगाने के लिए ब्लॉक कर दिया हो कि यह मार्केटिंग के लिहाज़ से एक बड़ी सफलता थी. ऐप्लिकेशन को गर्म रखने के दौरान, Apigee ने ऐप्लिकेशन को ब्लॉक कर दिया था.

Apigee, DDoS सुरक्षा से कैसे संपर्क करता है?

Apigee Edge, सुरक्षा टूलबॉक्स में मौजूद एक टूल है. यह टूल, ग्राहक के लिए उपलब्ध है. इसे कॉन्फ़िगर करने के लिए, नुकसान पहुंचाने वाले ट्रैफ़िक को ब्लॉक किया जा सकता है, मान्य लेकिन बहुत ज़्यादा ट्रैफ़िक को सीमित किया जा सकता है या प्रोसेस लोड होने की प्रोसेस, ग्राहक के बैकएंड से ज़्यादा तेज़ी से लोड हो सकती है. साथ ही, ग्राहक के डेटा सेंटर को उस पर ज़्यादा लोड होने से रोका जा सकता है. Apigee Edge में ऐसी सुविधाएं मिलती हैं जिनकी मदद से, हमारे ग्राहक खास सुरक्षा नीतियां बना सकते हैं, ताकि Apigee के पीछे की असली एपीआई सेवाओं को सुरक्षित रखा जा सके. Edge एक सुरक्षा लेयर है, जो बड़े ट्रैफ़िक की बढ़ोतरी (जैसे, DDoS हमले) को सोखने के लिए ज़रूरत के हिसाब से स्केल कर सकता है. साथ ही, इसका असर बैकएंड (ग्राहकों के डेटा सेंटर) तक सीमित रहता है.

Apigee, हर ग्राहक के लिए हर कॉल के पेलोड को मैनेज और उससे पूछताछ नहीं करता है. इसलिए, हमले की पहचान करने की क्षमता ग्राहक पर निर्भर करती है. हालांकि, किसी हमले के ख़िलाफ़ कार्रवाई करने के लिए, ग्राहक और Apigee, दोनों की मदद लेनी होगी. ज़रूरत पड़ने पर, Apigee, क्लाउड सेवा देने वाली कंपनी (GCP या AWS) से मदद ले सकता है.

Apigee, GCP, और AWS, किसी ग्राहक को भेजे जाने वाले ट्रैफ़िक को ब्लैकहोल नहीं करेंगे. अगर Apigee को यह पता चलता है कि ट्रैफ़िक नुकसान पहुंचाने वाला है, तो हम ग्राहक से संपर्क करेंगे और आपकी मदद करेंगे. हालांकि, Apigee Edge के स्केल की वजह से, ट्रैफ़िक का आसान वॉल्यूम, ट्रैफ़िक को ब्लॉक करने का ट्रिगर नहीं है.

ग्राहक, Edge का इस्तेमाल करके हमलों से सुरक्षा देने वाली नीतियां बना सकते हैं. इनमें DDoS शामिल है. ये नीतियां पहले से तैयार नहीं होती हैं. इसका मतलब यह होगा कि हर ग्राहक के एपीआई या डेटा या सेवाओं में कुछ खास नहीं होता. ग्राहक के इनपुट के बिना, Apigee इन नीतियों को चालू नहीं कर सकता. इसका मतलब यह है कि Apigee, ग्राहक के डेटा की समीक्षा कर रहा है और यह तय कर रहा है कि क्या मान्य है और क्या नहीं.

Edge इस्तेमाल किया जाने वाला टूल है और इसका इस्तेमाल उन कामों के लिए किया जा सकता है जो ग्राहकों को अपने एपीआई की सुरक्षा के लिए चाहिए. हालांकि, एपीआई की सुरक्षा के लिए ग्राहक को कुछ काम करने पड़ते हैं.

इसका लक्ष्य ग्राहक एपीआई सेवाओं को सुरक्षित रखना है. यह Edge Cloud की सुविधाओं और क्षमताओं में से एक है.

असल में, असल एपीआई से जितना हो सके उतना दूर अलग-अलग तरह के DDoS ट्रैफ़िक को ब्लॉक करना होता है:

  • क्लाउड के नेटवर्क पर गलत नेटवर्क पैकेट ब्लॉक करें
  • Edge प्लैटफ़ॉर्म लेयर पर, सही तरीके से बने, लेकिन अधूरे पैकेट के पानी को सोखते हैं
  • Edge लेयर पर, गलत तरीके से कॉन्फ़िगर किए गए एपीआई कॉल छोड़ें
  • Edge में सही तरीके से बनाई गई, लेकिन बिना अनुमति वाले कॉल को ब्लॉक करें
  • सही तरीके से बनाए गए और अनुमति वाले चैनलों को ब्लॉक करें, लेकिन Edge में बहुत ज़्यादा कॉल हों
  • सही तरीके से बनी, मान्य कुंजियों, और मान्य एपीआई अनुरोधों का पता लगाने के लिए Sense का इस्तेमाल करें, जो आपके लिए ज़रूरी या अनुमति वाले ऐक्सेस से बाहर हैं
  • ग्राहक डेटासेंटर पर सिर्फ़ मान्य, अनुमति वाले, स्वीकार किए जा सकने वाले, और मंज़ूरी पा चुके एपीआई कॉल पास करें

आम तौर पर पूछे जाने वाले अन्य सवाल

क्या Apigee, (ip|country|url) को अस्वीकार कर सकता है?

हां, अगर ग्राहक के Edge संगठन के अंदर, नीति को बनाया गया है, कॉन्फ़िगर किया गया है, और उसे Edge में चालू किया जाता है.

क्या Apigee, बॉट या नुकसान पहुंचाने वाली इस तरह की गतिविधियों का पता लगा सकता है?

Apigee, Sense नाम की एक बॉट डिटेक्शन सेवा देता है.

क्या मेरे लिए Apigee ब्लैकहोल ट्रैफ़िक चाहेगा?

Apigee, ग्राहक की ओर से भेजे गए ट्रैफ़िक को ब्लैकहोल नहीं करेगा. अगर Apigee को पता चल जाता है कि ट्रैफ़िक नुकसान पहुंचाने वाला है, तो हम ग्राहक से संपर्क करेंगे और आपकी मदद करेंगे. हालांकि, Apigee Edge और हमारी क्लाउड सेवा (GCP और AWS) की पहुंच की वजह से, कम ट्रैफ़िक से ट्रैफ़िक को ब्लॉक नहीं किया जा सकता.

क्या DoS या DDoS हमले को Edge में प्रोसेस किए गए एपीआई कॉल के तौर पर गिना जाता है?

Apigee Edge, ग्राहक के बैकएंड सिस्टम के गलत इस्तेमाल को रोकने में मदद करता है. इसलिए, किसी हमले की स्थिति में, Edge कॉन्फ़िगरेशन के आधार पर Apigee क्लाउड लेयर पर गलत इस्तेमाल को रोकने के लिए, कोटा/स्पाइक अरेस्ट/खतरे से सुरक्षा वगैरह लागू करेगा. जिस व्यक्ति के पास मान्य एपीआई पासकोड है और जो कोटा सीमा के अंदर है वह अब भी उस एपीआई को ऐक्सेस कर सकता है. हमारी लेयर पर प्रोसेस होने वाले किसी भी एपीआई कॉल को, प्रोसेस किए गए कॉल के तौर पर गिना जाएगा. Apigee Edge, सुरक्षा टूलबॉक्स में मौजूद एक टूल है. इसकी मदद से, ग्राहक डीडीओएस और दूसरी तरह के हमलों से बचाव कर सकते हैं.

डीडीओएस की सुरक्षा से जुड़ी पूरी जानकारी

  1. GCP और AWS, ज़रूरत के हिसाब से नेटवर्क लेवल पर डीडीओएस की मदद करते हैं. यह एक बहुत बड़ा हमला होता है.
    • अगर किसी हमले का जवाब देने के लिए GCP या AWS की मदद ज़रूरी हो, तो Apigee, GCP और AWS में सुरक्षा से जुड़े लोगों को अपने पास रखता है.
  2. Apigee Edge का इस्तेमाल, उन नीतियों को लागू करने के लिए किया जा सकता है जो ग्राहक के एपीआई को सायबर हमलों से बचाती हैं.
    • दर को सीमित किया जा रहा है.
    • स्पाइक गिरफ़्तार.
    • एक्सएमएल पेलोड हमले का पता लगाना.
    • खास हमलों से बचाव के लिए दूसरी नीतियां लिखी जा सकती हैं.
  3. Edge हमारी सुरक्षा के लिए, ऑटो-स्केलिंग की सुविधा का इस्तेमाल करता है.
  4. DDoS हमले के दौरान, Apigee और ग्राहक (और GCP या AWS) को एक साथ काम करना होगा. ओपन कम्यूनिकेशन ज़रूरी है और हमारी सहायता टीम को हर समय कॉल करने पर Apigee के पास सुरक्षा संसाधन उपलब्ध रहते हैं.

डीडीओएस का पहला रिस्पॉन्स, हमले में मदद के लिए Apigee Edge का इस्तेमाल करना है. जैसे, बढ़ोतरी को रोकना, अनुरोधों की दर को सीमित करना, और सोर्स के आईपी पतों को अस्वीकार करना. Edge में मौजूद कई टूल को डीडीओएस हमले से बचाया जा सकता है.

अगर हमले का साइज़ काफ़ी ज़्यादा है, तो Apigee ग्राहक के साथ काम करके, "अपस्ट्रीम असिस्टेंस" के लिए, क्लाउड सेवा देने वाली सही कंपनी को सूचना दे सकता है. हर डीडीओएस हमला अलग होता है, इसलिए हमले के दौरान उसका रिस्पॉन्स तय किया जाएगा. हालांकि, इस समस्या को ठीक करने में मदद करने के लिए, सबसे सही तरीके और जानकारी AWS पर सर्विस अटैक कम करने के सिस्टम को अस्वीकार करना में दी गई है.

याद रखें कि ज़रूरी है:

हमलों के लिए प्लान बना सकते हैं. मत भूलो, हम इसमें साथ हैं. जिन ग्राहकों को शक है कि उन पर हमला हो रहा है उन्हें एक टिकट खोलना चाहिए और Apigee से मदद मांगनी चाहिए.

GCP

Apigee, GCP के सुरक्षा उपायों का इस्तेमाल करता है, जैसा कि डीडीओएस से सुरक्षा और उसे कम करने के सबसे सही तरीके में बताया गया है, जैसे कि:

  • वर्चुअल नेटवर्क
  • फ़ायरवॉल के नियम
  • लोड बैलेंसिंग

AWS

AWS ने डीडीओएस रेज़िलिएंस के लिए सबसे सही तरीके और अटैक सरफ़ेस को कम करके, डीडीओएस हमलों से बचने के सबसे सही तरीके पब्लिश किए हैं. Apigee, इनमें से कई तरह की ऐसी टेक्नोलॉजी का इस्तेमाल करता है जो हमारे एनवायरमेंट के लिए लागू होती हैं:

  • VPC
  • सुरक्षा से जुड़े ग्रुप
  • ACL
  • Route53
  • लोड बैलेंसिंग